Cercetătorii ESET au analizat OSX/Keydnap, un Troian care fură parolele şi cheile de pe keychain-ul OS X, creând un backdoor permanent. Deşi nu este încă foarte clar mecanismul iniţial de infectare, se presupune că malware-ul se răspândeşte prin ataşamente la mesajele spam, descărcări de pe site-uri compromise sau prin alţi vectori de infectare.
Downloader-ul Keydnap este distribuit sub forma fişierelor .zip ce conţin executabile care imită pictograma Finder ce este folosită de obicei pentru fişierele JPEG sau text. Acest aspect creşte probabilitatea ca utilizatorul să dea dublu-clic pe fişier. Odată început procesul, o fereastră Terminal se deschide, iar sarcina maliţioasă este executată.
În acest punct backdoor-ul este configurat, iar secvenţa malware începe să colecteze şi să extragă informaţiile de bază despre Mac-ul pe care rulează. La cererea serverului C&C, Keydnap poate solicita privilegii administrative prin deschiderea unei ferestre obişnuite pe care OS X o foloseşte în acel scop. Dacă victima introduce datele de autentificare, backdoor-ul va rula atunci ca root, având conţinutul keychain al victimei extras.
“În timp ce există mai multe mecanisme de securitate în vigoare integrate în OS X pentru a combate atacurile malware, după cum observăm în această situaţie, este posibil ca utilizatorul să fie indus în eroare pentru a executa codul rău intenţionat, într-o secvenţă non-sandboxed. Toţi utilizatorii OS X ar trebui să rămână vigilenţi, în vreme ce noi încă nu ştim cum este distribuit Keydnap şi nici câte victime există”, spune Marc-Etienne M. Leveille, Cercetător Malware la ESET.
